Exchange Local: o que gestores de TI precisam fazer hoje em servidores Exchange on-premises

Introdução contextual

Muitas empresas brasileiras ainda mantêm o e-mail corporativo em servidores Exchange instalados localmente. Essa arquitetura traz controle sobre dados e políticas, mas também exige rotina de manutenção e resposta rápida a incidentes. Em 14 de maio de 2026, a Microsoft divulgou uma vulnerabilidade crítica que atinge justamente esse cenário e requer ação imediata por parte dos times de infraestrutura.

O que mudou

A falha registrada como CVE-2026-42897 afeta Exchange Server on-premises nas versões 2016, 2019 e Subscription Edition. O ponto de exploração é o Outlook Web Access, o acesso pelo navegador. Um e-mail especialmente preparado pode executar código no navegador do destinatário apenas ao ser aberto, sem necessidade de clique em links. Importante: o Exchange Online, usado em Microsoft 365, não é afetado por esta vulnerabilidade.

Impacto prático nas empresas

O vetor é o cotidiano: abrir e-mail no navegador. Enquanto a mitigação não estiver aplicada, qualquer colaborador que acesse o OWA é um potencial alvo. A execução de código no navegador pode resultar em roubo de sessões autenticadas, captura de credenciais ou servir como ponto de entrada para movimentos laterais na rede, ampliando o impacto para sistemas além do e-mail.

A Microsoft liberou uma mitigação automática para clientes com o serviço de proteção de emergência do Exchange ativo. Empresas que desativaram esse serviço, que operam servidores sem conexão com a internet ou que estejam em versões muito antigas precisarão aplicar a correção manualmente em cada servidor. A correção definitiva será publicada posteriormente e não estará disponível para instâncias de Exchange 2016 ou 2019 fora do programa de suporte Period 2.

Cenários reais de aplicação

Em uma empresa de médio porte com equipe de TI enxuta, a visibilidade do status do serviço de mitigação pode ser limitada. Se o time não souber quais servidores têm o serviço ativo, a janela de exposição pode se estender por dias enquanto a verificação é feita manualmente.

Em ambientes distribuídos com múltiplos servidores Exchange em filiais, a aplicação manual via script em cada máquina aumenta complexidade e risco operacional. Usuários remotos que acessam o OWA fora da rede corporativa representam um ponto de vulnerabilidade particularmente sensível.

Para empresas que já consideram migrar para Microsoft 365, o incidente reforça um argumento prático: o Exchange Online remove a necessidade de gerenciar esse tipo de mitigação local, reduzindo a superfície de risco ligada à manutenção de servidores on-premises.

Pontos de atenção

O mitigador automático não funciona em servidores desconectados da internet ou em ambientes isolados por política de segurança. Nesses casos, a aplicação manual via script é o único caminho disponível até a correção permanente ser publicada.

Servidores em versões anteriores a março de 2023 podem precisar de atualização antes de receber quaisquer mitigações automáticas. Depois que a mitigação é aplicada, recursos do OWA como impressão do calendário e exibição de imagens inline podem apresentar comportamento incorreto. É necessário comunicar esse impacto aos usuários para evitar aumento de chamados.

Como a Memory pode apoiar

A Memory atua com infraestrutura e segurança Microsoft e oferece apoio pragmático em três frentes: diagnóstico imediato, remediação prioritária e planejamento estratégico.

No diagnóstico imediato realizamos inventário e verificação do status do serviço de proteção de emergência em cada servidor Exchange, identificando quem está exposto e mapeando servidores desconectados ou em versões fora do suporte. Esse mapeamento prioriza servidores expostos por criticidade e por número de usuários atendidos.

Na remediação aplicamos o script emergencial quando necessário, com procedimentos de teste e rollback controlados, além de validação das funcionalidades do OWA após a mitigação. Para ambientes com múltiplos servidores, executamos a aplicação coordenada para reduzir janela de exposição e evitar impactos operacionais nas filiais.

No plano estratégico avaliamos a necessidade de atualização dos servidores e conduzimos projetos de migração para Microsoft 365 quando essa é a opção mais adequada. O projeto de migração inclui avaliação de compatibilidade, plano de coexistência, fases de pilotagem e execução controlada, com foco em eliminar recorrência desse tipo de risco operacional.

Conclusão

A CVE-2026-42897 evidencia que manter Exchange on-premises exige processos e recursos para resposta rápida. Gestores de TI precisam confirmar imediatamente o status da mitigação em cada servidor, aplicar correções onde necessário e comunicar possíveis impactos aos usuários. Para organizações sem equipe dedicada, uma avaliação externa e execução assistida minimizam tempo de exposição e risco.

Decidir entre aplicar mitigação emergencial e iniciar um projeto de migração para Microsoft 365 é uma escolha estratégica que depende de inventário, criticidade e plano de governança. A Memory pode ajudar a mapear essas variáveis e executar as ações necessárias para reduzir risco e restaurar conformidade.